基于Linux系统的包过滤防火墙(12)

　　但是在进行包过滤的时候，ip碎片会导致这样一个问题：当系统将大数据包划分成ip碎片传送时，第一个碎片含有完整的包头信息（IP+TCP、UDP和 ICMP），但是后续的碎片只有包头的部分信息（如源地址、目的地址）。因此，检查后面的ip碎片的头部（就像有TCP、UDP和ICMP一样）是不可能的。假如有这样一条规则：

　　#iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 --dport 80 -j ACCEPT

　　并且这时的FORWARD的策略（policy）为DROP时，系统只会让第一个ip碎片通过，而丢掉其余的ip碎片，因为第一个碎片含有完整的包头信息，可以满足该规则的条件，而余下的碎片因为包头信息不完整而无法满足规则定义的条件，因而无法通过。

　　可以通过-fragment/-f选项来指定第二个及其以后的ip碎片，以上面的例子为例，我们可以再加上这样一条规则来解决这个问题：

　　#iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT

　　但是需要注意的是，现在已经有许多进行ip碎片攻击的实例（例如向Win98 NT4SP5,6 Win2K发送大量的ip碎片进行DoS攻击），因此允许ip碎片通过是有安全隐患的，对于这一点可以采用iptables的匹配扩展来进行限制。

　　2.3.3 设置扩展的规则匹配

　　要获得匹配的简要说明，可以使用如下的命令：

　　#iptables -m name_of_match -help

　　下面举例说明iptables的扩展规则匹配（忽略目标动作）：

　　（1）多端口匹配扩展。

　　1）匹配多个源端口。

　　#iptables -A INPUT -p tcp -m multiport-source-port 22,53,80,110

　　2)匹配多个目的端口

　　#iptables -A INPUT -p tcp -m multiport-destionation-port 22,53,80,110

　　3)匹配多个端口（无论源源端口还是目的端口）。

　　#iptables -A INPUT -p tcp -m multiport -port 22,53,80,110

　　(2)指定TCP匹配扩展

　　通过使用-tcp-flags选项可以根据tcp包的标志位进行过滤，该选项后接两个参数：第一个参数为要检查的标志位，可以是SYN、ACK、FIN、URG、PSH的组合，可以用ALL指定所有标志位：第二个参数是标志位值为1的标志。

　　#iptables -A INPUT -p tcp-tcp-flags SYN,FIN,ACK SYN

　　表示SYN、ACK、FIN的标志都要被检查，但是只有设置了SYN的才匹配。

　　#iptables -A INPUT -p tcp-tcp-flags ALL SYN,ACK

　　表示ALL（SYN,ACK,FIN,RST,URG,PSH）的标志都要被检查，但是只有设置了SYN和ACK的才匹配。

　　选项-syn是以上的一种特殊情况，相当于“--tcp-flags SYN,RST,ACK SYN“的简写。

　　#iptables -p tc-syn

　　(3)limit速率匹配扩展。

　　1）指定单位时间内允许通过的数据包的个数。

　　单位时间可以是/second、/minute、/hour、/day或使用第一个字母。例如：

　　#iptables -A INPUT -m limit-limit 300/hour

　　表示限制每小时允许通过300个数据包。

　　2）指定触发事件的阀值。